Krytyczna luka wtyczki Breeze Cache dla WordPress umożliwiająca przesyłanie dowolnych plików

Luka w Breeze Cache WordPress umożliwia przesyłanie dowolnych plików i zdalne wykonanie kodu. Sprawdź konfigurację i zabezpiecz serwer.
CVE-2026-3844CVSS 9.8CMS

Krytyczna luka wtyczki Breeze Cache dla WordPress umożliwiająca przesyłanie dowolnych plików

Luka w Breeze Cache WordPress umożliwia przesyłanie dowolnych plików i zdalne wykonanie kodu. Sprawdź konfigurację i zabezpiecz serwer.

CVSS
9.8 CRITICAL
EPSS
98.3%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka Breeze Cache dla WordPress do wersji 2.4.4 zawiera lukę umożliwiającą nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer poprzez brak walidacji typu pliku w funkcji 'fetch_gravatar_from_remote'. Luka ta może prowadzić do zdalnego wykonania kodu, jeśli opcja "Host Files Locally - Gravatars" jest włączona, co domyślnie jest wyłączone.

Wpływ biznesowy

Atakujący mogą wykorzystać tę lukę do przesłania złośliwych plików na serwer, co może skutkować przejęciem kontroli nad infrastrukturą WordPress. Zagrożenie jest krytyczne (CVSS 9.8) i wymaga szybkiej reakcji, zwłaszcza jeśli funkcja lokalnego hostowania avatarów jest aktywna. Organizacje korzystające z tej wtyczki powinny zweryfikować swoje konfiguracje i zabezpieczenia, aby zapobiec potencjalnym atakom.

Rekomendowane działania administratora

Administratorzy powinni niezwłocznie sprawdzić, czy wtyczka Breeze Cache jest zainstalowana i czy jej wersja jest niższa lub równa 2.4.4. Należy wyłączyć opcję "Host Files Locally - Gravatars" jeśli jest aktywna oraz monitorować logi serwera pod kątem podejrzanej aktywności. Zaleca się także śledzenie aktualizacji wtyczki i stosowanie poprawek bezpieczeństwa udostępnionych przez producenta.

Źródła